книги хакеры / журнал хакер / 163_Optimized

UnifiedExtensibleFirmware Interface(UEFI)—интерфейс междуОСимикропрограммами, управляющиминизкоуровневыми функциямиоборудования.ВыступаетвкачествезаменыBIOS,его основноепредназначение—кор- ректноинициализироватьоборудованиепривключениисистемы ипередатьуправлениезагрузчикуоперационнойсистемы.

@mihi42:

<!ENTITY % a SYSTEM 'http:// www.w3.org/QA/TheMatrix. xml'><!ENTITY b '%a;'> #java

#jaxp #DoS CVE-2012-1724 https://t.co/ PguomymA @Agarri_FR

Комментарий:

Эксплойт в один твит. Собственно, в Java до версии 7 Update 5 и 6 Update 33

была возможность атаки отказа в обслуживании путем организации бесконечного цикла.

@cBekrar:

MS должны предложить

500 000 долларов тем исследователям, которые смогут обойти #BlueHatPrize anti-ROP, до того как тратить

миллионы на добавление фичи, которая может слажать.

Комментарий:

Microsoft уже определила финалистов конкурса BlueHatPrize. Напомню, что компания пообещала 250 000 долларов тому, кто предложит новую защитную методику от злобных эксплойтов.

@esizkur:

Сравнил эти инновации с тем, что было в PaX более десяти лет назад: все эти BlueHat идеи

выглядят слабо.

Комментарий:

В продолжение темы критики конкурса BlueHatPrize.

@taosecurity:

Официальные лица Китая или России, возможно, относятся к Microsoft и другим круп-

ным вендорам так же, как США к Huawei. «Reverse mirroring;» — они не доверяют нам тоже.

@0xcharlie:

Ачивка выполнена, Брюс Шнайер знает о моем существовании: t.co/2SGIJ8oU.

Комментарий:

Брюс разродился блог-постом на тему вреда от существующего рынка эксплойтов. А что еще он может сделать?

@sanjar_satsura:

... Даже больше скажу, я предсказал возможности коллизий сертификатов, которые спуфил

Flame, практически за шесть месяцев до инцидента. Читай ][

Комментарий:

Читайте ][! Будете в тренде! Впереди всяких антивирусников :)

@mikko:

Забавный факт дня: вы знаете, что означает аббревиатура «DCIM» на всех модулях памяти

для цифровых камер? «DCIM» стандартно: «Digital Camera IMages».

@justinelze:

Люблю наш свадебный сайт, в пункте «Оставьте Ваши музыкальные предпочтения»

alert(«test») кажется самой популярной песней.

@DEVOPS_BORAT:

За каждую минуту, которую ты тратишь на установку пакетов из сорцов, твоя жизнь становит-

ся короче на две минуты.

@andreybelenko:

Итак, подтверждена поддержка ASLR в ядре iOS 6.

@hdmoore:

В одну линию: $ for i in `seq 1 512`; do echo 'select @@version;' | mysql -h 127.0.0.1 -u root mysql

--password=X 2>/dev/null && break; done

Комментарий:

Продолжаем тему эксплойтов, помещающихся в один твит. На этот раз угарная уязвимость в MySQL как результат непредсказуемого значения функции сравнения — memcmp(). Результат — обход аутентификации в MySQL. Подробнее — goo.gl/EtbCO.

@crypt0ad:

Иногда я забываю, что запустил calc.exe, и тогда я реально волнуюсь, замечая его на моем

таскбаре.

@homakov:

Я никогда не говорю «Вау», когда вижу CSRF-уязвимость на сайте, сделанном PHP-

программистами. Наоборот — я говорю «Вау», если вижу защиту от CSRF-атак там. #php

@opexxx:

select * from LastFm where hash=md5('yourpassword')

Комментарий:

Этот месяц богат на утечки хешей: LinkedIn, Last.fm и другие...

КРОШЕЧНАЯТВ-ПРИСТАВКА SMARTKEYTV

ANDROID-ДОНГЛДЛЯТЕХ,КТОЦЕНИТКОМПАКТНОСТЬИМОБИЛЬНОСТЬ

онвыполненвформебрелокасHDMI-выходомдляподключенияктелевизору илипроектору.Невзираянасмешныеразмеры,аппаратнаячастьустройства включаетпроцессорCortexA9счастотой1ГГциграфическойподсистемой Mali-400отARM,обладающейвозможностьюдекодированиявидеопотокаFull HD1080p,512МбОЗУ,4Гбфлеш-памяти,встроенныйадаптербеспроводной связиWi-Fi,устройстводлячтенияmicroSDHCипортminiUSB.SmartKeyTV поддерживаетфункциювещанияDLNAиможетвыступатькаксервером,так иклиентом.ПользователидевайсаполучатдоступкмагазинуGooglePlayдля приобретенияприложенийицифровыхматериалов.ВчисленаиболееинтересныхприложенийназываетсяSkype,разработчикизаявляют,что,установив его,пользователисмогутосуществлятьвидеозвонки.Заметим—ванонсе умалчиваетсяотом,чтодолжновыступатьвтакомслучаеисточникомвидео. НавыборпокупателядоступнычетыреразличныхпультаДУсгравитационным сенсоромивозможностьюуправлениякурсоромспомощьюперемещения впространстве.Такжезаявленаподдержкаголосовогоуправленияиуправле- ниеспомощьюдругогоAndroid-устройства.

ПродажиSmartKeyTVначнутсяэтимлетомпоцене99еврозасамбрелокили120еврозакомплект спультомДУсовстроеннойQWERTY-клавиатуройисенсорнойпанелью.

NFCТОЖЕ НЕБЕЗОПАСЕН

ХАКЕРЫНЕУПУСКАЮТИЗВИДУ НОВЫЕТЕХНОЛОГИИ

ymantecсообщилаопоявлениипервогоприло-

SжениядляAndroid,котороепытаетсякопировать платежныереквизитыбанковскихкарт,работаю-

щихчерезрадиопротоколNFC.Напомним,чтостандарт ближнейсвязиNFCобеспечиваетбеспроводнойобмен данныминакороткомрасстоянии.Подобныевидысвязи сегодняужеимеютширокоеприменение.Вчастности, некоторыебанкивыпустилибесконтактныекартыдля проездавметрополитене.Существуютидругиеподобныепроекты.Малварь,добравшаясядоNFC,называется Android.Ecardgrabber.Приложениеспособносчитать номерпластиковойкарты,срокеедействия,атакженомер банковскогосчетапользователя.Авторпрограммы—не- мецкийисследовательвобластибезопасности.Онхотел продемонстрироватьпоявлениеновогоклассаугроздля пользователейтехнологииNFC.ПриложениебылоразмещенонасервисеGooglePlay13июня,доудаленияего успелискачатьот100до500человек.Программавыдает себязаторговыйтерминалипроизводитсчитываниереквизитовбанковскойкартыпользователябезеговедома. Авторпризнает,чтоприложениеуспешнотестировалось толькосдвумясистемамипластиковыхкарт:MasterCard иGeldKarte.

ПРИБАВЛЕНИЕВСЕМЕЙСТВЕ IVYBRIDGE

INTELПРЕДСТАВИЛАДВУХЪЯДЕРНЫЕИULV-ЧИПЫ

Напроцессорах IvyBridgeбудет выпущено110 ультрабуков.Из нихтридцатьполучатсенсорный экран,аеще десятьбудут«ги- бридами»—смо- гутпревращаться изноутбука впланшет.

концеапрелякорпорацияIntelпрезентовалапервуюволнупро-

ВцессоровIvyBridge,кудавошличетырехъядерныепроцессоры,

атеперьочередьдошлаидовторойволны.Intelпредставиласразу четырнадцатьдвухъядерныхпроцессоровIvyBridge.Шестьизнихпредна- значеныдлядесктопныхрешений,аостальныевосемь—длякомпактных ноутбуковиультрабуков.Изэтихвосьмиполовинаимеютсверхнизкое энергопотреблениеиобозначаютсямаркировкой«U».ПоставкипроцессоровизсемействCorei5иCorei7началисьсразупослеанонса(31мая). ПроцессорыCorei3станутдоступныпозднее.ПроцессорыизпоколенияIvy Bridgeвыпускаютсяпо22-нанометровомутехпроцессу.Онииспользуютту жемикроархитектуру,чточипыпредыдущегопоколения(SandyBridge),но отличаютсяотпредшественниковбольшейпроизводительностьюименьшимиэнергозатратами.

ТакжеIntel,являющаясяавторомконцепцииультрабуков,немного переформулироваласвоитребованиякэтимустройствам.Компанияполагает,чтосовременныйультрабукдолжениметьскоростныепортыUSB

3.0либоThunderboltирасполагатьвстроеннымисредствамиобеспечения безопасности.Рядтребованийноситнеобязательный,арекомендательныйхарактер.Кпримеру,желательно,чтобыультрабукработалотбатареи неменеевосьмичасов,атакжемогзагружатьобновления,находясь вспящемрежиме.

ЕВГЕНИЙКАСПЕРСКИЙОНОВОМТРОЯНЕFLAME

«ЯБОЮСЬ,ЧТОЭТОТОЛЬКО НАЧАЛОИГРЫ,ИОЧЕНЬ СКОРОМНОЖЕСТВОСТРАН ПОВСЕМУМИРУВЭТОМ УБЕДЯТСЯ»

ВНЕДРЕНИЕIPV6ИДЕТ

ОНОВОМПРОТОКОЛЕИСОПРЯЖЕННЫХТРУДНОСТЯХ

рошелвторойвсемирныйденьзапускаIPv6,

Пкоторыйбылназначенна6июня2012годаисостоялся,какибылозапланировано.Организа-

торыакциихотелиещеразпривлечьвниманиемирового сообществакпроблеменехваткиадресногопространства втекущейверсиипротоколаIPv4,котораяможетадресоватьтолько3,7миллиардаузлов.Большинствокрупных интернет-порталовс6июнясталиработатьсиспользо- ваниемпротоколаIPv6.Напомним,чтоновыйстандарт IP-протоколаподдерживаетзначительнобольшую адресацию,чтопозволяетподключитькСетивмиллионыразбольшеустройств.ВозможностипротоколаIPv4, используемогосейчас,ужепрактическиисчерпаны,его адресноепространствоужераспределеномеждупровайдерами.УIPv6значительнорасширенадресныйресурс, чтопозволитнаближайшиедесятилетиянебеспокоиться онехваткеинтернет-адресов.ВGoogle,YahooиFacebook говорят,чтоихпорталыужесейчасдоступнывадресном пространствеIPv6,однакоонитакжедоступныивпространствеIPv4.

Освоейподдержкеакциипо«настоящему»переходунаIPv6заявиликомпанииGoogle,Yahoo,Microsoft, Facebook,Cisco,атакжекрупнейшиемировыеконтентпровайдерыAkamaiиLimelight.Одновременно

синтернет-гигантамизначительнуючастьсвоихклиентов нановуюверсиюинтернет-протоколасогласилисьпере- ключитьикрупныеинтернет-провайдерыповсемумиру. Средитех,ктозаявилопланахпереходанаIPv6летом этогогода,ужезначатсякомпанииComcastиAT&TвСША, FranceTelecomвоФранции,XS4ALLвНидерландахидругие.Крометого,компанияCiscoиеедочернееподразде- лениеLinksys,атакжеD-Linkзаявили,чтонавсехновых выпускаемыхпродуктахизначальнобудетвключена поддержкапротоколаIPv6.

НонапутиIPv6естьипрепоны.Например,ДжонКаррин, президентиисполнительныйдиректорсевероамерикан- скогоинтернет-регистратораARIN,доходчивообъясняет: «Пользователейсмущаеттотфакт,чтонельзяпараллель- нозапускатьIPv4иIPv6,аэтимсистемамкакое-товремя придетсясуществоватьвместе,тутничегонеподелаешь. Сколькоэтососуществованиепродлится—неизвестно, очевидно,чтоонозатянетсянагоды,возможнонадесять лет».Сдругойстороны,всесовременныеОСужеподдерживаютновыйпротокол,поддержкатакжереализована иваппаратномобеспечении,иестьнадежда,чтоудастся управитьсябыстрее,чемзадесятьлет:).

МАССОВАЯУТЕЧКАПАРОЛЕЙ ПОЛЬЗОВАТЕЛЕЙLINKEDIN

ВРУКИХАКЕРОВПОПАЛАБАЗАПАРОЛЬНЫХХЕШЕЙ

insidepro.com.ЛогиныпользователейLinkedInвфайлеуказаныне были,нонеисключено,чтоонимогутбытьнарукахухакеров(вкачествелогиновнасайтеиспользуютсяадресаэлектроннойпочты). ДиректорLinkedInВисентеСильвейрапризнал,чтоопубликованные парольныехешиSHA-1(безсоли)действительносоответствуютпа- ролямпользователейLinkedIn.Онпообещал,чтодлявсехскомпрометированныхаккаунтовпаролисменятавтоматически,акаждый пострадавшийпользовательполучитуведомлениепоэлектроннойпочтесинструкциямипоустановкеновогопароля.Еслиэтот жепарольиспользовалсянадругихресурсах,его,разумеется, рекомендуетсясменитьитам.МикроблогLinkedInсообщает,что проводитсярасследование,однакодоказательствутечкиобнаружитьпоканеудалось.Напомним,чтонемногимранееспециалисты поинформационнойбезопасностизафиксировалифишинг-атаку напользователейLinkedIn.Чтокасается1,5миллионаMD5-хешей сайтаeHarmony,товсепаролитамхранилисьпрописнымибуквами, такчтокнастоящемумоменту95%изнихужерасшифровано.

236578паролейподобрал хакерPolimo намомент публикации архивахешей, ионпродолжаетработу.

ПЕНТЕСТПОДРУЧНЫМИ СРЕДСТВАМИ

«ОЧУМЕЛЫЕРУЧКИ»ПО-ХАКЕРСКИ

ростенькийодноплатныйкомпьютерRaspberryPiбыл

ПсозданкомпаниейRaspberryPiFoundationв2011году,разработкапредназначаласьдляобучениябазовымкомпью-

тернымнаукамвшколах.Компьютервыполненначетырехслойной печатнойплатеразмеромпримерносбанковскуюкарту,поставля- етсябезкорпусаистоитпримерно25–35долларов.Казалосьбы,что интересногоможносделатьстакойнезамысловатойштукой?Хакеры вочереднойраздоказывают,чтонужномыслитьшире,—миниа- тюрныйкомпьютерсумелиприспособитьдляпентестов.Вобщем-то, этонеудивительно,ведьRaspberryPiидеальноподходитдлятаких целей.Крошечныйформ-фактор,хорошийпроцессор,относительно малоеэнергопотребление,возможностьподключенияWi-Fi-модуля поUSB,ядроLinux—чтоещенужнодляскрытойустановкивофисе? УмельцывыпустилиспециализированныйдистрибутивPwnPi (pwnpi.sourceforge.net)дляинсталляциинаRaspberryPi,онсодержит всенеобходимыеинструменты.Остаетсятолькопридумать,как запитатьустройствоотрозеткиилиподключитькнемубатарейки, чтобымодульмогработатьвавтономномрежимедолгоевремя,— иплатформадлятестовнапроникновениеготова.

Кстати,другойумелецнашелспособиспользованиявкачестве монитораRaspberryPiдешевойфоторамкиParrotDF3120стоимостью25долларов.Фоторамкасдиагональю3,5дюймаработаеткак дисплейпоBluetooth.Дляпентестовэто,конечно,нетребуется,но идеясамапосебевесьмаинтересна.

фициальныйанонсгаджета,окоторомходилостолько

Ослухов,наконецсостоялся.Microsoftпредставиласвой Windows-планшетSurface,иновинкамгновеннооказалась

вцентревниманияСМИипользователейсовсегомира.

SurfaceбудетфункционироватьподуправлениемWindows RTиWindows8Pro(вразличныхвариантах).Планшетвыполнен в10-дюймовомформ-факторе,иоднойизглавныхизюминок

новинкиявляетсячехол-клавиатураTouchCover,выполненныйиз кожитолщинойвсего3мм.Навнутреннейсторонеобложекесть клавиши,аккорпусуобложкикрепятсяприпомощишестимагнитов(аналогичноSmartCoverнаiPad).Интересно,чтоизарядное устройствотакженамагните,каквпродуктахApple.Естьтакже пятимиллиметровыйвариантTypeCover,гдеклавиатураполучила ещеистрелки,аклавишидвигаютсяпринажатии,какутрадиционнойклавиатуры.Кстати,TypeCoverподдерживаютнетолько нажатия,ноижесты.Длякаждойобложкидоступныразличные цветовыеварианты.

Какужебылосказановыше,планшетыбудутработатьна WindowsRTиWindows8Pro,ноэтонеединственноеихразличие.Так,младшаямодельстроитсянаплатформеNVIDIATegra, комплектуетсяразъемамиmicroSD,USB2.0,MicroHDVideo,весит

всего676гипотолщиненепревышает9,3мм.Втовремякакстаршая будетфункционироватьнаIntelCorei5(IvyBridge),получитпорты microSDXC,USB3.0,MiniDisplayPortибудетвеситьуже903гпритолщине13,5мм.Времяавтономнойработымладшеймоделисостав-

НАЛОГНАНОСИТЕЛИИНФОРМАЦИИЕСТЬНЕТОЛЬКОВРОССИИ

ляет10ч,старшей—около6ч.Корпусаобоихустройстввыполнены измагниевогосплаваVaporMg,которыйобеспечиваетлегкость корпусаиегопрочность.Накорпусеустройстваестьоткидывающаясякрышка,накоторуюможнопоставитьпланшет.Экранприкрыт привычнымдлятакогородадевайсовGorillaCorningGlass.

Тыужезаметил,чтонислованебылосказанооподдержкесетей сотовойсвязи3G/4G?Увы,этоненашеупущение.Деловтом,что покапланшетымогутпредложитьпользователямлишьWi-Fi- соединение—поддержкисотовыхсетейнет.

Оценахнаустройствапоканетофициальнойинформации,но слухигласят,чтостоимостьWindowsRT(иNVIDIATegra3)планшетов будетначинатьсясотметки499–599долларов,авотмодификация спроцессоромIntelIvyBridgeиWindows8Proобойдетсяпокупате- лямгде-тов999долларов.ХотяMicrosoftиобещала,чтоценаплан-

шетовбудетконкурентоспособнойпосравнениюсARM-планшетами (дляверсииSurfaceсWindowsRT)иультрабуками(дляверсии SurfaceсWindows8Pro),этицифрысвидетельствуютобобратном.

Сдругойстороны,многиеаналитикитакжезаговорилиотом,что Surface—этоинструментпопуляризациискорееWindowsRT,не- желикаких-тоаппаратныхразработокMicrosoft.Стоитзаметить,что почтивсеOEM-производителидействительноужеподсуетились— в2013годупоявятсядесяткиWindowsRTустройств,налюбойвкус идостаток.ВыходпланшетовSurface,всвоюочередь,запланированнаоктябрьтекущегогода.Дождемсярелизаидальнейшего развитиясобытий.

сть очень мощный фактор, который

Eпрепятствует развитию многих процессов, — привычка. Самая что ни на

есть тупая привычка делать что-то именно так и никак иначе. Что забавно, люди часто противятся изменениям, аргументируя это весьма нелепым образом: «Да мы всегда так делали». Не раз пытаясь разрушить стену недоверия, объясняя, как можно оптимизировать какой-то процесс, сделал для себя важное открытие: нет лучшего способа доказать состоятельность идеи, чем продемонстрировать ее в действии. Идеальный вариант здесь — показать готовое решение. Но мы живем не в идеальном мире, а тратить время на проект, будучи не до конца в нем уверенным, — непозволительная роскошь. Даже прототип создать часто бывает довольно сложно, да и не нужно. Самое главное — это прототип интерфейса. Нет более действенного способа объяснить, как можно улучшить программу или сайт, чем показать, как они могут выглядеть. А главное — сделать грубые наброски приложения или сайта можно буквально за несколько минут. Открыл редактор, перетащил drag’n’drop’ом нужные элементы интерфейса, расставил их, как надо, — одно окно готово. Делаешь еще несколько страниц или окон — и первый прототип интерфейса к твои услугам. Единственный вопрос: в каком редакторе это делать?

Одно из классных решений, позволяющих быстро сделать скетч любого приложения, —

Balsamiq Mockups (www.balsamiq.com). Приложение реализовано на Adobe AIR и потому без проблем запускается под любой ОС. Я пользовался им довольно долго. Однако со временем его разработчики все больше стали заниматься зарабатыванием денег (что, в общем, правильно), и потому семидневный триал – единственное, что сейчас можно получить бесплатно.

Теперь я всем всегда советую другой инструмент — сервис mockingbird (gomockingbird. com). Это полностью онлайновый сервис, позволяющий очень быстро прорабатывать прототипы интерфейса веб-приложений и десктопных программ. Любая идея превращается в готовый интерфейс за считаные минуты: сначала на рабочей области расставляются элементы UI, стилизованные под карандашный набросок, все выравнивается по сетке, после чего настраиваются линки между различными окнами (для примера: кнопка «Настройки» будет открывать интерфейс окна настроек). Удобно, что над проектом можно работать совместно, причем даже в бесплатной версии. Правда, если ты захочешь создать интерфейс больше чем из десяти страниц, то уже придется платить денежку.

С mockignbird все было хорошо до тех пор, пока для одного проекта не понадобилось создать не набросок интерфейса, а правдивое изображение, как приложение будет выглядеть под виндой. Здесь я открыл для себя InPreso Screens (www.inpreso.com). Этот сервис

предлагает все ту же концепцию создания интерфейсов (да и что тут нового придумаешь?!), но имеет в арсенале одну прикольную фичу – поддержку скинов. То есть на готовый прототип интерфейса легко натягивается скин, скажем, Windows 7 и Mac OS X. Таким образом, еще недавно грязный набросок интерфейса начинает выглядеть как полноценное приложение под нужной тебе ОС.

Третий сервис для прототипирования интерфейсов пришлось найти, когда потребовалось сделать набросок мобильного приложения, которое должно стать важной частью одного интересного проекта. Нужно было максимально быстро сделать интерфейс программы, причем сразу для двух мобильных ОС: iOS и Android. Здесь меня выручил замечательнейший сервис proto.io, который позволяет сделать это даже на бесплатном тарифном плане. Но мало сделать красивую картинку — ее еще надо продемонстрировать, и обязательно на устройстве. Какова же была моя радость, когда в родном браузере iPhone я увидел нормально отображающийся интерфейс, который только что разработал на десктопе. Задание было выполнено.

Не пойми меня неправильно. Работа над интерфейсом, который отвечал бы всем правилам usability, — это сложный, кропотливый труд.

Но когда нужно объяснить, в чем суть затеи, созданный на коленке каркас приложения — то, что доктор прописал. z

В ЧЕМ ПРОБЛЕМА

Куки используются в HTTP для аутентификации сессий, чтобы распознать конкретного юзера в общей массе. Однако куки не гарантируют совершенно никакой безопасности, потому что

создавались не для этого и передаются по Сети в открытом виде. Кто угодно может взять чужие куки и залогиниться под чужим аккаунтом, даже не зная пароля. Существует масса простых утилит для перехвата чужих куки в открытых сетях, например в бесплатном Wi-Fi-хот-споте (взять хотя бы Firesheep и DroidSheep).

Веб-разработчики знают о проблеме, но ничего не могут поделать. Они привыкли полагаться на общую защиту всего трафика через HTTPS, но это не спасает жертву. Есть куча мест, где куки все равно лежат в открытом виде: на сайтах почти всегда найдутся дыры из-за ошибок в конфигурации, куки можно извлечь из браузера с помощью XSS, XST и других трюков, да и сам HTTPS не такой уж непробиваемый.

В общем, по своей природе куки исключительно слабо защищены, тут уж ничего не поделаешь. У одного панамского хакера по имени Итало Дакоста возникла идея: а что, если использовать

СхемапротоколаOTC

вместо куки одноразовые токены? Так и родился проект One Time Cookies, OTC (www.cc.gatech.edu/~idacosta/otc/index.html). В отличие от куки, OTC изначально придумывались с прицелом на безопасность.

КАК ЭТО РАБОТАЕТ

Идея в том, что клиент сам генерирует уникальный токен с каждым HTTPS-запросом, генерируя хеши HMAC (Hash-based Message Authentication Code) на основании ключа сессии, полученного

от сервера, см. схему протокола OTC. Таким образом, перехват токена (от клиента к серверу) в открытой сети ничего не дает злоумышленнику, потому что токен одноразовый и действует ровно один запрос.

Чтобы подменить сессию, злоумышленник должен сгенерировать свой собственный хеш HMAC и создать свой собственный токен для конкретного запроса. Но он не может этого сделать, потому что не получил от сервера ключ сессии и другую информацию, необходимую для генерации HMAC.

Теоретически злоумышленник может сгенерировать токен только в том случае, если получит доступ к компьютеру жертвы и извлечет информацию, полученную с сервера сразу после авторизации (ввода имени пользователя и пароля на сервере). Однако компоненты OTC хранятся на клиентской машине в защищенном

месте, отдельно от других компонентов браузера, так что большинство обычных методов атаки на браузер тут не сработает. По крайней мере, они защищены гораздо лучше, чем куки.

OTC могут использоваться параллельно с куки для аутентификации сессий и представляют собой фактически дополнительный уровень безопасности вдобавок к HTTPS.

КАК ИСПОЛЬЗОВАТЬ

Чтобы включить протокол OTC, его нужно установить и на сервере, и у клиента. Для серверной части есть плагин к WordPress (www. cc.gatech.edu/~idacosta/otc/otc_wp_plugin.zip), а для клиента — расширение к браузеру Firefox (www.cc.gatech.edu/~idacosta/otc/ otc.xpi).

Ставим и то, и другое — и все сразу начинает работать, в чем можно убедиться, если посмотреть на пакеты в сниффере

Wireshark или расширении Live HTTP Headers для Firefox. z

ЧЕМОДАНЧИК

ХАКЕРА